Win32:Rootkit-gen [Rtk] - avasta ostrzeżenie

radek_155 (Radek14107) 2009-06-23 15:11:03 UTC #1

witam mam problem z Win32:Rootkit-gen [Rtk]. wysyłam skan z hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:52:36, on 2009-06-23

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16850)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\SOUNDMAN.EXE

I:\Winamp\winampa.exe

C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe

C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Winamp Remote\bin\OrbTray.exe

I:\Nowy folder (2)\DAEMON Tools Lite\daemon.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\UAService7.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

H:\kscd.exe

C:\PROGRA~1\NEOSTR~1\neostradatp.exe

C:\PROGRA~1\NEOSTR~1\ComComp.exe

C:\PROGRA~1\NEOSTR~1\Toaster.exe

C:\PROGRA~1\NEOSTR~1\Inactivity.exe

C:\PROGRA~1\NEOSTR~1\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\PROGRA~1\NEOSTR~1\Watch.exe

C:\WINDOWS\system32\cmd.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - C:\Program Files\ivo\Expressivo Demo\IH_iexplore.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Jamróz\Dane aplikacji\Nowe Gadu-Gadu_userdata\ggbho.1.dll

O3 - Toolbar: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - C:\Program Files\ivo\Expressivo Demo\IH_iexplore.dll

O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\Run: [WinampAgent] I:\Winamp\winampa.exe

O4 - HKLM..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM..\Run: [internet Connection Wizard Setup Tool] C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe

O4 - HKCU..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [DAEMON Tools Lite] "I:\Nowy folder (2)\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: icwsetup.exe

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab

O17 - HKLM\System\CCS\Services\Tcpip..{FBE6055A-0FF8-44E9-B683-05E3456589F6}: NameServer = 194.204.159.1 217.98.63.164

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Usługa Google Update (gupdate1c9eabc51369053) (gupdate1c9eabc51369053) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

End of file - 9562 bytes

Byłbym wdzięczny za pomoc

jasio96 (96jasio96) 2009-06-23 19:12:00 UTC #2

Wylecz pendrive lub karte pamięci Flash Disinfector

Pobierasz ComboFix , ale nie uruchamiasz go . Tworzysz dokument tekstowy o nazwie CFScript. Zapisujesz w nim

Zapisujesz go obok ComboFix'a . Przeciągasz CFScript na ikonke ComboFix i upuszczasz . Ma się rozpocząć usuwanie . (Tak jak na rysunku)

Daj log z usuwania

radek_155 (Radek14107) 2009-06-24 10:59:28 UTC #3

ComboFix 09-06-23.01 - Jamróz 2009-07-01 12:44.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.511.259 [GMT 2:00]

Uruchomiony z: c:\documents and settings\Jamróz\Pulpit\ComboFix.exe

Użyto następujących komend :: c:\documents and settings\Jamróz\Pulpit\CFScript.txt

AV: avast! antivirus 4.8.1335 [VPS 090623-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

* Utworzono nowy punkt przywracania

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

c:\program files\Web Technologies

c:\windows\system32\win32.dll

c:\windows\system32\drivers\null.sys - brakowało pliku

Plik odzyskano z - c:\windows\system32\dllcache\null.sys

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

-------\Service_glaide32

((((((((((((((((((((((((( Pliki utworzone od 2009-06-01 do 2009-07-01 )))))))))))))))))))))))))))))))

2009-07-04 11:16 . 2009-07-04 11:16 -------- d-----w- c:\windows\system32\KB905474

2009-07-04 11:16 . 2009-03-10 20:26 1436544 ----a-w- c:\windows\system32\KB905474\wganotifypackageinner.exe

2009-07-04 11:16 . 2009-03-10 20:18 455048 ----a-w- c:\windows\system32\KB905474\wgasetup.exe

2009-07-01 17:59 . 2009-06-14 12:53 -------- d-----w- c:\program files\Vidalia Bundle

2009-07-01 10:48 . 2001-08-17 21:47 2944 -c--a-w- c:\windows\system32\dllcache\null.sys

2009-07-01 10:48 . 2001-08-17 21:47 2944 ----a-w- c:\windows\system32\drivers\null.sys

2009-06-30 09:06 . 2009-02-06 10:10 227840 -c----w- c:\windows\system32\dllcache\wmiprvse.exe

2009-06-30 09:06 . 2009-02-09 11:26 2190336 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe

2009-06-30 09:06 . 2009-03-06 14:22 285696 -c----w- c:\windows\system32\dllcache\pdh.dll

2009-06-30 09:05 . 2009-02-09 11:25 111104 -c----w- c:\windows\system32\dllcache\services.exe

2009-06-30 09:05 . 2009-02-09 10:53 401408 -c----w- c:\windows\system32\dllcache\rpcss.dll

2009-06-30 09:05 . 2009-02-09 10:53 473600 -c----w- c:\windows\system32\dllcache\fastprox.dll

2009-06-30 09:05 . 2009-02-09 10:53 686592 -c----w- c:\windows\system32\dllcache\advapi32.dll

2009-06-30 09:05 . 2009-02-09 10:53 731136 -c----w- c:\windows\system32\dllcache\lsasrv.dll

2009-06-30 09:05 . 2009-02-09 10:53 453120 -c----w- c:\windows\system32\dllcache\wmiprvsd.dll

2009-06-30 09:05 . 2009-02-09 10:53 722944 -c----w- c:\windows\system32\dllcache\ntdll.dll

2009-06-30 09:05 . 2009-02-09 11:26 2146816 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe

2009-06-30 09:04 . 2009-02-09 11:26 2025472 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe

2009-06-30 08:44 . 2009-06-30 08:44 -------- d-----w- c:\program files\MSXML 4.0

2009-06-29 19:53 . 2008-10-24 11:21 455296 -c----w- c:\windows\system32\dllcache\mrxsmb.sys

2009-06-29 19:51 . 2008-12-11 10:57 333952 -c----w- c:\windows\system32\dllcache\srv.sys

2009-06-29 19:44 . 2008-10-15 16:36 337408 -c----w- c:\windows\system32\dllcache\netapi32.dll

2009-06-29 19:44 . 2008-09-04 17:17 1106944 -c----w- c:\windows\system32\dllcache\msxml3.dll

2009-06-29 19:41 . 2008-04-21 21:16 218112 -c----w- c:\windows\system32\dllcache\wordpad.exe

2009-06-23 14:30 . 2009-06-23 14:30 -------- d-----w- c:\program files\Trend Micro

2009-06-23 14:22 . 2009-06-23 14:22 -------- d-----w- C:!KillBox

2009-06-11 19:24 . 2009-06-11 19:24 -------- d-----w- c:\documents and settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Google

2009-06-11 17:45 . 2009-06-11 17:45 -------- d-----w- c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\Google

2009-06-11 17:39 . 2009-06-11 17:39 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Google Updater

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

2009-07-04 11:16 . 2001-10-26 16:15 68334 ----a-w- c:\windows\system32\perfc015.dat

2009-07-04 11:16 . 2001-10-26 16:15 439326 ----a-w- c:\windows\system32\perfh015.dat

2009-07-01 10:52 . 2008-04-05 11:26 -------- d-----w- c:\program files\neostrada tp

2009-06-22 14:47 . 2008-05-24 14:02 138512 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys

2009-06-22 14:47 . 2008-05-24 14:02 201440 ----a-w- c:\windows\system32\PnkBstrB.exe

2009-06-15 14:46 . 2008-04-05 11:27 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-06-14 09:04 . 2008-04-28 14:46 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Microsoft Help

2009-06-11 17:52 . 2008-05-22 16:10 -------- d-----w- c:\program files\Google

2009-06-01 15:55 . 2008-05-13 19:29 -------- d-----w- c:\program files\Nowe Gadu-Gadu

2009-05-25 19:45 . 2009-05-25 19:45 0 ----a-w- c:\windows\Infob.dat

2009-05-25 19:45 . 2009-05-25 19:45 0 ----a-w- c:\windows\Infoa.dat

2009-05-25 17:30 . 2008-04-13 14:33 -------- d-----w- c:\program files\Lexmark X1100 Series

2009-05-07 15:34 . 2004-08-03 22:44 347648 ----a-w- c:\windows\system32\localspl.dll

2009-04-29 04:47 . 2004-08-03 22:44 827392 ----a-w- c:\windows\system32\wininet.dll

2009-04-29 04:47 . 2004-08-03 22:44 78336 ----a-w- c:\windows\system32\ieencode.dll

2009-04-19 19:51 . 2004-08-03 22:37 1847424 ----a-w- c:\windows\system32\win32k.sys

2009-04-15 14:54 . 2004-08-03 22:44 585216 ----a-w- c:\windows\system32\rpcrt4.dll

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"Orb"="c:\program files\Winamp Remote\bin\OrbTray.exe" [2008-03-25 507904]

"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2008-03-20 2127296]

"DAEMON Tools Lite"="i:\nowy folder (2)\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-11 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

"WOOWATCH"="c:\progra~1\NEOSTR~1\Watch.exe" [2004-08-23 20480]

"WOOTASKBARICON"="c:\progra~1\NEOSTR~1\GestMaj.exe" [2004-10-14 32768]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"WinampAgent"="i:\winamp\winampa.exe" [2009-03-09 37888]

"Lexmark X1100 Series"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-05-08 136600]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]

"Internet Connection Wizard Setup Tool"="c:\program files\Internet Explorer\Connection Wizard\icwsetup.exe" [2009-06-19 19968]

"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-11-17 577536]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-10-22 1622016]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Jamr˘z\Menu Start\Programy\Autostart\

Tworzenie wycink˘w ekranu i uruchamianie programu OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2007-8-24 101784]

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\

icwsetup.exe [2009-6-19 19968]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"c:\Program Files\Gadu-Gadu\gg.exe"=

"%windir%\Network Diagnostic\xpnetdiag.exe"=

"c:\Program Files\Winamp Remote\bin\Orb.exe"=

"c:\Program Files\Winamp Remote\bin\OrbTray.exe"=

"c:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe"=

"g:\Ares\Ares.exe"=

"c:\Program Files\Ares\Ares.exe"=

"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=

"c:\Program Files\Microsoft Office\Office12\GROOVE.EXE"=

"c:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"=

"c:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe"=

"g:\EMULE\emule.exe"=

"c:\Program Files\Nowe Gadu-Gadu\gg.exe"=

"c:\WINDOWS\system32\dplaysvr.exe"=

"g:\Stronghold Crusader\Stronghold Crusader\Stronghold Crusader.exe"=

"i:\Hamachi\hamachi.exe"=

"c:\WINDOWS\system32\dpvsetup.exe"=

"c:\Program Files\Skype\Phone\Skype.exe"=

"i:\gry\Wolfenstein - Enemy Territory\ET.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-05 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-05 20560]

R3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\system32\drivers\e4usbaw.sys [2008-04-05 116992]

S2 gupdate1c9eabc51369053;Usługa Google Update (gupdate1c9eabc51369053);c:\program files\Google\Update\GoogleUpdate.exe [2009-06-11 133104]

S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);c:\windows\system32\drivers\e4ldr.sys [2008-04-05 64000]

Zawartość folderu 'Zaplanowane zadania'

2009-07-01 c:\windows\Tasks\Google Software Updater.job

c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-06-11 17:39]

2009-07-01 c:\windows\Tasks\GoogleUpdateTaskMachine.job

c:\program files\Google\Update\GoogleUpdate.exe [2009-06-11 17:43]

2009-07-01 c:\windows\Tasks\WGASetup.job

c:\windows\system32\KB905474\wgasetup.exe [2009-07-04 20:18]

------- Skan uzupełniający -------

uStart Page = hxxp://www.google.pl/

uDefault_Search_URL = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: { - c:\program files\Messenger\msmsgs.exe

FF - ProfilePath -

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-07-01 12:51

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

------------------------ Pozostałe uruchomione procesy ------------------------

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\windows\system32\LEXBCES.EXE

c:\windows\system32\LEXPPS.EXE

c:\program files\IVT Corporation\BlueSoleil\BTNtService.exe

c:\windows\system32\FTRTSVC.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\wdfmgr.exe

c:\progra~1\NEOSTR~1\TaskBarIcon.exe

c:\windows\system32\UAService7.exe

c:\program files\Lexmark X1100 Series\lxbkbmon.exe

c:\program files\Alwil Software\Avast4\ashMaiSv.exe

c:\windows\system32\wscntfy.exe

c:\program files\Alwil Software\Avast4\ashWebSv.exe

**************************************************************************

Czas ukończenia: 2009-07-01 12:56 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2009-07-01 10:56

Przed: 1 814 261 760 bajtów wolnych

Po: 1 755 496 448 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

188 --- E O F --- 2009-06-14 09:04

jasio96 (96jasio96) 2009-06-24 17:57:46 UTC #4

:arrow: Usuń folder C:\Qoobox

:arrow: Daj log z pełnego skanowania Malwarebytes Anti-Malware

:arrow: Wyłącz i włącz przywracanie systemu

:arrow: Usuń zbędniki z autostartu

:arrow: Usuń śmieci i wyczyść rejestr CCleaner'em

:arrow: Daj raport z pełnego skanowania Dr.Web CureIt! (Plik :arrow: Zapisz Listę Raportu)

radek_155 (Radek14107) 2009-06-26 17:49:46 UTC #5

Log z pełnego skanowania Malwarebytes Anti-Malware

Malwarebytes' Anti-Malware 1.38

Wersja bazy definicji: 2329

Windows 5.1.2600 Dodatek Service Pack 3

2009-06-26 19:39:48

mbam-log-2009-06-26 (19-39-40).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|F:\|G:\|I:\|)

Przeskanowane obiekty: 167959

Upłynęło: 2 hour(s), 26 minute(s), 27 second(s)

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 0

Zainfekowane foldery: 0

Zainfekowane pliki: 4

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:

(Nie wykryto groźnych plików)

Zainfekowane foldery:

(Nie wykryto groźnych plików)

Zainfekowane pliki:

c:!killbox\icwsetup.exe (Trojan.Downloader) -> No action taken.

c:\program files\alwil software\avast4\data\moved\icwsetup.exe.vir (Trojan.Downloader) -> No action taken.

c:\program files\premium booster\RdvChk.exe (Spyware.OnlineGames) -> No action taken.

c:\documents and settings\Jamróz\Dane aplikacji\wiaserva.log (Malware.Trace) -> No action taken.

raport z Dr.Web CureIt wrzuce później

jasio96 (96jasio96) 2009-06-27 11:18:32 UTC #6

Dlaczego tego nie usuwałeś ?? Teraz trzeba się męczyć .

:arrow: Pobierz The Avenger

Skopiuj do niego :

:arrow: Wciskasz Execute :arrow: potwierdzasz restart . Dajesz raport z usuwania(C:\avenger.txt) na forum . Na koniec kasujesz ręcznie plik C:\Avenger\backup.zip

:arrow: Opróżnij kwarantanne Avasta.

radek_155 (Radek14107) 2009-06-28 20:12:38 UTC #7

usunąłem te pliki programem Malwarebytes Anti-Malware hmm nie ma już tych plików chyba nie ma potrzeby sciągać avengera

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem